[AI리포터]
[디지털투데이 AI리포터] 엔비디아가 추천 시스템용 오픈소스 머신러닝 프레임워크 멀린(Merlin)의 보안 취약점을 수정하는 패치를 발표했다.
22일(현지시간) 대만매체 아이티홈에 따르면, 이번에 확인된 취약점은 CVE-2025-33214와 CVE-2025-33213 두 가지이다.
각각 데이터 전처리 도구인 엔비태뷸러(NVTabular)의 워크플로와 모델 학습 도구인 트랜스포머4렉(Transformers4Rec)의 트레이너 구성 요소에서 발생한다. 두 결함 모두 신뢰할 수 없는 데이터를 처리하는 역직렬화(Deserialization) 과정에서 적절한 검증이 누락되어 발생하며, 보안 위험도가 10점 만점에 8.8점으로 매우 높다.
 |
[디지털투데이 AI리포터] 엔비디아가 추천 시스템용 오픈소스 머신러닝 프레임워크 멀린(Merlin)의 보안 취약점을 수정하는 패치를 발표했다.
22일(현지시간) 대만매체 아이티홈에 따르면, 이번에 확인된 취약점은 CVE-2025-33214와 CVE-2025-33213 두 가지이다.
각각 데이터 전처리 도구인 엔비태뷸러(NVTabular)의 워크플로와 모델 학습 도구인 트랜스포머4렉(Transformers4Rec)의 트레이너 구성 요소에서 발생한다. 두 결함 모두 신뢰할 수 없는 데이터를 처리하는 역직렬화(Deserialization) 과정에서 적절한 검증이 누락되어 발생하며, 보안 위험도가 10점 만점에 8.8점으로 매우 높다.
해당 취약점을 악용할 경우, 공격자는 네트워크를 통해 인증 없이도 사용자 상호작용만 유도하면 리눅스 환경에서 임의 코드를 실행(RCE) 할 수 있다. 이는 단순한 서비스 중단을 넘어 시스템 권한 탈취, 민감 정보 유출, 데이터 변조로 이어질 수 있는 치명적인 위협이다. 특히 멀린이 대규모 데이터 기반의 개인화 서비스와 추천 엔진에 널리 쓰이는 만큼, AI 분석 플랫폼을 운영하는 기업들의 각별한 주의가 요구된다.
엔비디아는 현재 깃허브 공식 저장소를 통해 수정 버전을 제공하고 있다. 사용자는 엔비태뷸러(commit 5dd11f4 이상)와 트랜스포머4렉(commit 876f19e 이상)으로 즉시 업데이트해야 하며, 이전 버전을 사용하는 모든 환경은 공격에 노출되어 있어 신속한 패치가 권장된다.
<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
